Conficker(Downadup)蠕虫技术分析与防御指南

本文详细分析了Conficker蠕虫的传播机制、技术特点和防御措施,包括MS08-067漏洞利用、网络共享攻击、USB传播方式以及多层次的防护策略,为企业安全提供全面指导。

Conficker(Downadup)蠕虫に関するまとめ

小野寺です。 日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。

追記(2009/2/27 Conficker.C の情報を、公開しました)

Conficker 蠕虫に関するまとめ

マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067 の悪用に関する情報、具体的には Conficker 蠕虫に関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker 蠕虫について提供した情報および、この蠕虫が悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。

まず、お客様に Conficker 蠕虫がコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。

最も重要なガイダンスとして、マイクロソフト セキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。しかし、この蠕虫は多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。

最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターから蠕虫を駆除する方法に関する情報およびポインターを提供します。

蠕虫の蔓延方法分析

現在までのところ、“in the wild"の状態で確認されたものはこの蠕虫の 2 つの変種のみです。まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。Worm:Win32/Conficker.B (英語情報) が 2 番目の変種で、これは 2008 年 12 月 29 日に報告されました。この変種は複数の蔓延方法を使用します。

攻撃手法詳細

  1. MS08-067 脆弱性悪用

    • ネットワークのその他のコンピューターに感染しようとします
    • Windows コンピューターにすべてのセキュリティ更新プログラムが完全に適用されていない環境で、蠕虫に感染の足がかりを与えます

  2. ネットワーク共有攻撃

    • 蠕虫自体を標的となるコンピューターの ADMIN$ 共有 (既定で Windows フォルダーです) にコピーしようとします
    • まず、現在ログオンしているユーザーの資格情報を悪用しようとします
    • 同じユーザー アカウントがネットワークの異なるコンピューターで使用されており、そのアカウントが管理者権限を持っている環境で特に有効
    • これが失敗した場合、標的となるコンピューターのユーザー アカウントの一覧を取得し、各ユーザーと脆弱なパスワードの一覧 (例: 「1234」、「password」または「student」) を組み合わせて接続しようとします
    • これらの組み合わせの 1 つが有効で、そのアカウントが書き込みアクセス許可を持つ場合、蠕虫自体を ADMIN$ フォルダーにコピーします

  3. USB ドライブ経由の感染

    • USB ドライブやその他のポータブル ストレージなどのリムーバル メディアに、蠕虫自体をコピーします
    • INF ファイルを追加し、リムーバブル メディアが使用された場合、自動再生ダイアログで 1 つの追加オプションを表示します
    • ユーザーが最初のオプションを選択した場合、蠕虫が実行されます

システム構成変更

さらに、Conficker はいくつかの構成変更を行うため、Windows を起動した際には常に実行します。

  • サービスとしてそれ自身を追加
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run の下にレジストリ値を追加
  • さまざまなサービスを終了させ、再起動させようとします
  • ウイルス対策プログラムまたは他のセキュリティ ソフトウェアと思われる名称が含まれているプロセスのすべてを終了させようとします
  • ウイルス対策およびセキュリティ ベンダー企業の多くの Web サイト、そして Windows Update のサイトへのアクセスを禁止

防御対策ガイダンス

これらの蔓延方法を考慮した場合、本蠕虫に感染するリスクを最小限に抑えるために、お客様に複数の措置を講じていただく必要があります。

  1. セキュリティ更新プログラムの適用

    • お客様の環境の Windows のコンピューターすべてに MS08-067 を完全にインストールしてください

  2. ウイルス対策製品の使用

    • Conficker の検出を確実に行うウイルス対策製品を使用してください
    • 該当のウイルス対策プログラムは蠕虫がそれ自身を他のマシンにコピーするのを防ぐ機能があります
    • Microsoft Forefront Client Security および Windows Live OneCare は検出されたまさに当日からこの蠕虫を検出し、禁止します

  3. パスワードポリシーの強化

    • お客様の環境の、すべてのユーザー アカウントおよび共有ファイルの両方に堅牢なパスワードを使用してください

  4. 自動再生設定の管理

    • 自動再生のオプションについて、お客様に最良の選択をしてください
    • 無効にすることを選択するお客様もいらっしゃいます

感染時の対応

本脅威にネットワークが感染した場合、上記のステップを行い、環境を強化してください。その後、サポート技術情報 KB 962007 の MSRT により、ステップ バイ ステップの手順で駆除してください。

役立つリンク

セキュリティ更新プログラム:

パスワード:

リムーバブル メディア:

ウイルス対策:

MSRT:

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次